روش های ایمیج گرفتن از RAM

در این مقاله قصد داریم نحوه‌ی ایمیج گرفتن از Ram را برای تجزیه‌وتحلیل را بیاموزیم. راه‌های مختلفی برای انجام آن وجود دارد اما اجازه دهید کمی وقت بگذاریم و یاد بگیریم که هرکدام در چه شرایطی استفاده می‌شوند.

RAM چیست؟

RAM مخفف Random Access Memory است. این قطعه به‌عنوان حافظه اصلی کامپیوتر یاد می‌شود که برای روشن شدن سیستم بسیار مهم است. RAM به کاربر اجازه می‌دهد تا به‌طور موقت داده‌ها را در سیستمی که از آن استفاده می‌کند ذخیره کند. اما ازآنجایی‌که RAM حافظه‌ای فرار است، تمام اطلاعات ذخیره‌شده در RAM به‌محض قطع شدن برق از بین خواهند رفت. RAM هم قابل‌خواندن و هم قابل‌نوشتن است که دسترسی به آن را آسان می‌کند.

اهمیت RAM در این است که سیستم شمارا سریع‌تر می‌کند چون ذخیره‌سازی در Hard Disk شما زمان زیادی طول می‌کشد. درمجموع، می‌توانید نتیجه بگیرید که RAM به بهبود عملکرد دستگاه شما کمک می‌کند.

فواید ایمیج گرفتن از Ram

ایمیج گرفتن از Ram بسیار مهم است، چون investigator ها دریافته‌اند که بسیاری از داده‌ها را می‌توان در حافظه فرار (volatile memory) پیدا کرد. رم‌ها می‌توانند شواهد مهمی در تحقیقات باشند و به investigator اجازه می‌دهند تا بفهمند یک مظنون از چه برنامه‌هایی استفاده شده است یا چه برنامه حین حمله استفاده‌شده. همچنین ممکن است attacker از راه دور برخی داده‌ها و ابزارها را روی Ram بجای Disk ذخیره کرده باشد.

 ایمیج گرفتن از Ram با Dumpit

Dumpit یک ابزار جمع‌وجور است که می‌تواند ذخیره محتویات Ram سیستم شمارا آسان کند. این‌یک ابزار کنسولی است اما نیازی به باز کردن خط فرمان یا تسلط بر سوئیچ‌های خط فرمان را ندارد. در عوض، تنها کاری که باید انجام دهیم این است که فقط double click روی فایل آن برای تولید یک کپی از حافظه فیزیکی در دایرکتوری جاری است.

همان‌طور که در تصویر بالا می‌بینیم این ابزار در حال حاضر مسیر ذخیره Image را که ایجاد کرده نمایش می‌دهد. همان مسیر جاری نرم‌افزار است و در انتها از ما می‌خواهد که ادامه دهیم یا نه. اگر می‌خواهیم ادامه دهیم، باید “y” را فشار دهیم.

در صورت اتمام موفقیت‌آمیز فرآیند پیغام “success” نمایش داده می‌شود. با باز کردن CMD در مسیر جاری با زدن دستورdir وجود فایل capture را بررسی می‌کنیم.

Magnet Forensics

Magnet Forensics یک ابزار رایگان Ram capturing که برای ذخیره حافظه فیزیکی سیستم مشکوک استفاده می‌شود. این ابزار به investigator ها اجازه می‌دهد تا حقایق ارزشمندی را که فقط در حافظه سیستم یافت می‌شود تجزیه‌وتحلیل و بازیابی کنند.

Magnet Ram capture دارای حافظه کوچکی است. به این معنی که investigators می‌تواند ابزار را درحالی‌که داده‌ها در Ram در حال overwrite است، اجرا کند. ما می‌توانیم داده‌های حافظه را با فرمت Raw (.DMP/.RAW/.BIN) بگیریم و به‌راحتی آن‌ها را تجزیه‌وتحلیل کنیم.

این ایمیج گرفتن می‌تواند به‌عنوان مدرک در forensic investigation استفاده شود. برخی از شواهدی که در RAM یافت می‌شوند پردازش می‌شوند، برنامه‌ای که روی سیستم اجرا می‌شود، اتصالات شبکه، شواهدی از نفوذ بدافزار، رجیستری، نام‌های کاربری و رمز عبور، فایل‌ها و کلیدهای رمزگشایی‌شده و غیره. اکنون می‌توانیم با اجرای نرم‌افزار و با کلیک روی آن، فرآیند ضبط Ram  و  ایمیج گرفتن را شروع کنیم.

حال می‌بینیم که فرآیند capture با موفقیت انجام می‌شود.

با توجه به تصویر بالا می‌بینیم که می‌توانیم نام و فرمت memory image را مشخص کنیم.

فرآیند ایمیج گرفتن بستگی به حجم Ram دارد.

پس از تکمیل فرآیند ایمیج گرفتن، یک پیغام دریافت شده که نشان می‌دهد فرآیند موفقیت‌آمیز است. مسیری که فایل ما در آن قرار دارد را در اختیار ما قرار می‌دهد که قبلاً توسط ما ارائه‌شده بود.

همان‌طور که در تصویر بالا می‌بینیم که ایمیج گرفتن ما با موفقیت ایجادشده است، می‌توانیم آن تصویر حافظه را تجزیه‌وتحلیل کنیم.

Access data FTK imager

FTK Imager می‌تواند live image و paging file را برای هر دو نسخه ۶۴و ۳۲ بیتی windows انجام دهد. مهم نیست که با چه تعداد داده مختلف سروکار داریم یا مقدار داده چقدر است.FTK سریع‌تر و بهتر از هر چیز دیگری به کمک ما می‌رسد. نرم‌افزار را اجرا می‌کنیم.

روی دکمه فایل کلیک می‌کنیم.

بعد از باز شدن پنجره روی گزینه Capture Memory کلیک می‌کنیم.

در این صفحه علاوه بر مسیر ذخیره فایل و اسم فایل همچنین وضعیت ساخت AD1 file و کپ چر کردن pagefile را می‌توانیم مشخص کنیم.

بعد از ثبت موارد بالا و شروع فرآیند در صفحه بالا مسیر ذخیره فایل و همچنین وضعیت لحظه‌ای image file را نمایش می‌دهد.

بعد از اتمام فرآیند پیغام “Memory capture finished successfully” نمایش داده می‌شود.

Belkasoft Live RAM Capturer

این‌یک ابزار forensic رایگان برای استخراج قابل‌اعتماد تمام محتوای volatile memory سیستم است. حتی اگر توسط برخی از سیستم‌های active anti-debugging محافظت‌شده باشد. درصورتی‌که ساخت‌های جداگانه ۳۲ بیتی و ۶۴ بیتی آن برای به حداقل رساندن ردپای ابزار تا حد امکان در دسترس باشد. این ابزار دارای دو نسخه ۶۴ بیتی و ۳۲ بیتی است. بعد از دانلود و نصب برنامه را باز می‌کنیم و مسیر ذخیره image file را قرار داده و روی capture کلیک می‌کنیم.

بعد از شروع نرم‌افزار شروع به استفاده از درایوهای خود برای فرایند capture می‌کند همچنین وضعیت capture memory را می‌توانید مشاهده کنید.

بعد از اتمام فرآیند پنجره‌ی برنامه را می‌بندیم. این‌ها برخی از راه‌ها یا ابزارهایی برای گرفتن live memory image جهت تجزیه‌وتحلیل است. این ابزارها برای جستجوی برخی شواهد در تحقیقات investigator در پرونده‌های خود کمک کنند.

این مقاله از منبع زیر ترجمه‌شده است

https://www.hackingarticles.in/multiple-ways-to-capture-memory-for-analysis

امیدوارم از مقاله‌ی ایمیج گرفتن از Ram لذت برده باشید. در صورت علاقه به آموزش تست نفوذ شبکه می‌توانید در دوره‌های تست نفوذ شبکه آکادمی تکوان ۲۴ شرکت کنید.